[发明专利]一种基于CVSS的多维度软件安全风险评估方法

权利要求书

1.一种基于CVSS的多维度软件安全风险评估方法，其特征在于，包含有如下步骤：

步骤1)获取软件漏洞数据：选定待评估的软件漏洞，从公开的漏洞数据库中获取该漏洞的漏洞数据，漏洞数据包括，漏洞信息，漏洞类型，漏洞影响因素，漏洞可利用因素，漏洞利用时间信息；

步骤2)分析漏洞数据，整合成数据集：对收集的漏洞数据整合成数据库，将收集到的漏洞数据按漏洞类型和漏洞利用时间进行分类，划分整合各自数据集；

步骤3)重新调整CVSS风险得分中影响性度量的三种度量指标的权重：根据对系统的危害程度大小对影响性度量的三种度量指标重新进行权重分配，危害性较大的权重增大，危害性较小的权重减小，按照影响因素危害性分别重新设置影响性度量中各度量指标的相对重要性权重，根据上述分配原则得出多种权重分配方案；

步骤4)从多种权重分配方案中优选出影响性中度量指标的分配方案：利用权重搜索方法在多种权重分配方案中优选出最佳影响性的三种度量指标的权重值，重新设置影响性度量中的相对重要性度量指标权重，利用权重搜索方法在多种分配方案中取得机密性、完整性和可用性三个度量指标符合要求的权重分配方案，统计得到不同方案漏洞得分的平均值、标准偏差、变异系数和该方案得到的不同风险得分数量，选取最佳的相对重要性权重方案；

步骤5)在可利用性度量中增设了漏洞类型度量指标：在可利用性度量中的攻击途径、攻击复杂度以及身份验证的度量指标基础上增设漏洞类型度量指标；根据漏洞可利用性难易对漏洞类型数据集进行分级，对不同等级的每一类漏洞数量除以同等级漏洞数量总和，来构建初始漏洞类型数据表；根据初始数据表结合对应的标准权重构建决策矩阵，利用层次分析方法获得每一级别漏洞所对应的基础权重；利用Topsis方法计算每种类型的相对贴进度作为对应的漏洞类型权重；根据对抗漏洞类型影响方法计算漏洞类型的权重占比，与攻击途径、攻击复杂度、身份验证共同形成基于CVSS的多维度软件安全风险评估方法的可利用性度量表达，可利用性度量表达公式为：

可利用性＝18×攻击途径×攻击复杂度×身份验证+漏洞类型；

步骤6)在风险得分中增设利用时间概率度量：在风险评估中增设漏洞时间利用概率项度量其中β为形状参数，α为比例参数，t为漏洞利用时长；漏洞的时间因素具体为漏洞的公开与利用时间的差异时长；量化漏洞的时间是增加时间因素对漏洞风险评估的影响，将漏洞利用时间数据集数据以Weibull分布模型进行分析，计算数据点的中位等级，用对数转换后的数值进行回归，确定一条漏洞利用时间拟合曲线，根据拟合曲线确定利用时间线性趋势，根据趋势斜率与截距计算漏洞拟合曲线的形状参数β与比例参数α，代入利用概率计算公式，得到计算漏洞时间利用概率P_t，

步骤7)得出多维度风险评估结果：综合各度量标准，相对重要性的权重值，形成基于CVSS的多维度软件安全风险评估得分公式：

风险得分＝(0.6×影响性+0.4×可利用性×利用概率P_t-1.5)

其中影响性取最佳相对重要性度量指标；可利用性增加有漏洞类型度量指标，利用多维度风险评估得分公式对获取漏洞数据进行风险评估，得到获取漏洞的风险评估结果，该风险评估结果融合更多评估因素，更加客观的显示风险得分。